본문 바로가기

[+] Forensic

iOS Forensic - (3)

이전 글까지는 iOS의 분석을 위한 이미지 데이터 획득과 분석 방법에 대하여 아주 간단하게나마 알아보았었다. 하지만 이번 글에서는 잠시 그 이전으로 돌아가 모바일 장치를 획득 했을 때 조치하거나 확인해야 하는 부분들을 언급하고자 한다. 조사관이 모바일 장치를 얻었을 경우 포렌식으로서 가장 중요한 것은 무엇인가? 바로 분석 데이터 보존이 아닐까? Apple 社에서는 이와 반대되는 기능으로 원격에서 해당 장치의 데이터를 완전 삭제 할 수 있는 기능을 제공하고 있다. 이 기능을 사용하기 위해서는 MobileMe 계정이 필요한데 이 계정만 알고 있으면 어디서든지 자신의 모바일 장치 데이터를 완전 삭제 할 수 있다. 만약 조사관이 획득한 모바일 장치의 MobileMe 계정을 모바일 장치 주인뿐만이 아닌 배우자나 또 다른 누군가가 알고 있어 모바일 장치의 데이터를 완전 삭제 해 버린다면 그것은 모바일 장치를 습득하지 않은 것과 동일 할 수도 있고 더 나쁜 경우가 될 수도 있을 것이다. 또 데이터 삭제 뿐만이 아닌 비밀번호도 설정 할 수 있어 상당히 포렌식 관점에서 까다로운 기능이 아닐 수 없다. 이러한 이유로 모바일 장치를 습득했다면 우선순위로 MobileMe 계정을 비활성화 하는 것이 좋다.

또 모바일 장치의 무선네트워크를 차단하는 것도 중요하다. 무선 네트워크를 차단만 시킨다면 사실 위에서 설명한 MobileMe 계정을 이용한 데이터 삭제도 걱정하지 않아도 된다. 그러나 이 두 경우는 비밀번호가 걸려 있지 않아야 가능하다는 전제조건이 있다. 비밀번호가 걸려있는 모바일 장치를 획득하였다면 사실 가장 좋은 방법은 Faraday Bag과 같은 무선 전파를 차단 하는 상자에 모바일 장치를 넣어 물리적으로 네트워크 연결을 차단 시켜버리는 방법이다.


[그림 1 - Faraday Bag]


외국에서는 간단한 Faraday Bag 뿐만 아니라 USB 포트를 제공하는 Faraday Bag까지 제공 해 무선네트워크가 차단 된 상태로 분석을 수행 할 수 있게 끔 지원하고 있다.

모바일 장치를 획득 할 때 일반적 상황이라면 모바일 장치를 소유하고 있던 사람의 주변 디지털 기기들도 다 함께 수집을 할 것이다. 그 중에는 분명 PC도 포함되어 있을 것이다. 모바일 장치에 비밀번호가 설정되어 있고 모바일 장치의 소유자가 사용하던 PC도 수집 하였다면 정당한 범위내에서 모바일 장치의 비밀번호를 해제 할 수 있다.

비밀번호가 설정 된 모바일 장치가 컴퓨터에 연결 되면 각 운영체제 별로 특정한 디렉토리에 비밀번호와 관련된 Lock 인증서 plist 파일이 저장 된다. XML 형태의 plist 파일이어서 내용을 볼 수는 있지만 파일에 저장 된 비밀번호 데이터는 암호화가 되어 있어 평문으로 어떤 데이터인지는 확인을 하지 못한다. 하지만 잠금장치를 해제 하는데 사용하기에는 충분하다.


 - Mac OS X : /private/var/db/lockdown/

 - Windows XP : C:\Documents and Settings\%User Name%\Local Settings\Application Data\ Apple Computer\Lockdown

 - Windows Vista : C:\Users\%User name%\AppData\Roaming\Apple Computer\Lockdown

 - Windows 7 : C:\ProgramData\Apple\Lockdown


위 경로들에는 파일명이 해시 값인 plist 파일이 하나 있는데 그 파일이 Lock 인증서 파일이다. 해당 파일이 없을 경우 비밀번호가 걸린 모바일 장치는 iTunes에 연결 시 [그림 2]와 같은 대화상자가 나타난다.


[그림 2 - iTunes 동기화 실패]


Lock 인증서가 지정 경로에 포함되어 있을 땐 정상적으로 iTunes와 모바일 장치가 동기화 된다. 이를 이용 해 모바일 장치와 연결 되었던 컴퓨터에서 Lock 인증서를 복사 해 조사관 컴퓨터에 동일한 경로로 파일을 넣으면 정상적으로 분석 대상 모바일 장치를 조사관 컴퓨터의 iTunes에 동기화 시킬 수 있다.


[그림 3 - 정상적인 iTunes 동기화]

'[+] Forensic' 카테고리의 다른 글

Internet Explorer 10 Forensic  (0) 2012.09.09
iOS Forensic - (4)  (0) 2012.08.16
iOS Forensic - (2)  (0) 2012.08.14
iOS Forensic - (1)  (0) 2012.08.13